Laurent C., expert en cyberdéfense et enseignant à l’IEP Paris, répond aux questions d’EurAsia Prospective sur les cyberattaques dont les institutions américaines viennent de faire l’objet.
EurAsia Prospective: que sait-on aujourd’hui de la cyberattaque contre les institutions et les entreprises américaines ? Quelles sont sa durée, ses cibles et ses conséquences ?
Laurent C. : les informations publiques sont encore parcellaires néanmoins, il semble établi que l’attaque a débuté il y a plusieurs mois par l’infiltration de la société Solarwinds dont le logiciel Orion, logiciel spécialisé dans la gestion des grandes infrastructures informatiques, est très présent dans les administrations et les grandes entreprises américaines.
Cette infiltration initiale a permis de placer un malware discret dans une mise à jour d’Orion. Dès lors, tous les clients d’Orion ont téléchargé le malware à l’occasion de la mise en place de la nouvelle version. Une fois installé, ce malware a constitué un harpon permettant de télécharger à l’insu de la victime des capacités plus importantes permettant à l’attaquant de se déplacer dans le réseau de la victime puis d’élever ses privilèges afin de mener ses actions, qu’elles soient de renseignement ou potentiellement de sabotage.
Potentiellement, tous les clients de Solarwinds ayant téléchargé la mise à jour ont aujourd’hui leur réseau compromis, c’est à dire qu’un attaquant pourrait prendre le contrôle de leur système d’information. En soi, cette technique d’attaque par la supply chain est assez classique. L’aspect inédit de cette attaque est son caractère industriel : l’attaquant a réussi à trouver le moyen de pénétrer l’ensemble de ses cibles, les grandes entreprises et administrations américaines, en une seule action auprès d’un sous-traitant. C’est particulièrement efficace même si cela ne représente que la première phase de l’attaque, derrière l’intrusion il y a toute la phase d’exploitation qui devra être réalisée organisme par organisme et exigera des ressources nombreuses et expertes.
EurAsia Prospective : peut-on identifier les auteurs de l’attaque ? S’agit-il de la Russie ?
Laurent C. : l’attribution d’une attaque à un Etat ou à un groupe particulier est un acte éminemment politique. Même si cette attribution peut être soutenue par des éléments techniques ou des hypothèses sur l’intérêt de l’attaque, il demeure toujours une part d’incertitude sur l’identité véritable de l’attaquant. Les revendications sont rares dans les attaques cyber, l’anonymat reste la règle.
La Russie semble être en mesure de mener des attaques de ce type et cela pourrait s’inscrire dans son agenda de déstabilisation des Occidentaux. Le caractère étatique, direct ou indirect, de l’attaque semble néanmoins établi. Une structure criminelle guidée par une recherche de profit facile et rapide ne se serait pas engagée dans une attaque aussi complexe et vaste et aurait trouvé un moyen de monétiser cette attaque (paiement de rançon, revente d’informations).
EurAsia Prospective: quelles réponses sont envisageables pour les autorités américaines dans les jours et les semaines qui viennent ? Doivent-elles d’abord mesurer l’ampleur des dégâts? Peuvent-elle riposter et si oui comment?
Laurent C. : au-delà de l’information des victimes potentielles et la sécurisation de la source de l’attaque (le logiciel Orion) pour éviter une poursuite de la contamination, dans les prochains jours les autorités américaines vont devoir mener une campagne dite de « threat hunting » chez l’ensemble des victimes potentielles. Cela consiste à investiguer dans les réseaux des victimes pour rechercher la présence de l’attaquant (malware vecteur de l’attaque, traces de comportement suspects) mais aussi de faire la lumière sur les actions qu’il aurait pu mener depuis son intrusion (exfiltration de données, modifications de données ou de réglages, création de faux comptes,…). Ces investigations sont complexes, longues et coûteuses d’autant plus lorsque les systèmes des victimes sont hétérogènes et ont peu de moyens de détection. Dans des systèmes d’information vastes et complexes, l’investigation peut être sans fin. Il est quasi impossible d’affirmer l’absence totale d’attaquant ou de dispositifs permettant à l’attaquant de revenir si besoin. On est dans de la maîtrise des risques et non dans l’éradication des risques. La priorité est donc d’empêcher ou du moins de rendre l’exploitation de l’attaque beaucoup plus difficile. Sous réserve que l’attribution soit confirmée, la riposte peut prendre des formes très variées. Elle peut prendre la forme d’une protestation diplomatique publique ou confidentielle, des manoeuvres d’influence notamment , un « hack back » sous forme d’une attaque cyber similaire sur des cibles équivalentes, mais aussi des actions dans le champ physique comme des manoeuvres militaires. La réponse à une attaque cyber n’est pas nécessairement cyber, l’ensemble de la panoplie des actions est disponible.
EurAsia Prospective: cette attaque annonce-t-elle une nouvelle tendance en matière de cyberguerre? Et plus largement préfigure-t-elle une évolution notable de la conflictualité? Si oui de quelle façon et à quelle échéance?
Laurent C. : cette attaque confirme, s’il en était besoin, que l’espace numérique est devenu un champ de confrontation à part entière entre les puissances. Le numérique est devenu vital dans nos sociétés contemporaines, et de ce fait un champ dans lequel il est possible de faire pression sur son adversaire ou compétiteur. Impact, flexibilité, anonymat sont les caractéristiques principales des attaques dans le champ cyber ce qui explique les investissements massifs réalisés par toutes les puissances dans ce champ. Néanmoins, ces mêmes puissances, dont l’économie et l’activité dépendent fortement du numérique, n’ont pas intérêt à le déstabiliser complètement ni à s’engager dans un conflit ouvert. La conflictualité dans l’espace cyber s’apparente ainsi davantage à le de la guérilla que de la guerre à proprement parlé. Il s’agit d’exploiter le cyber (renseignement, influence, sabotage,…) pour servir ses intérêts sans pour autant atteindre un seuil d’engagement des forces armées.
La difficulté est de disposer d’une appréciation partagée du niveau de seuil. Les initiatives pour définir des normes de comportement dans l’espace numérique (interdiction de toucher les intérêts nucléaires, les systèmes politiques,…), premier pas avant d’envisager du droit, ont à ce jour toutes été des échecs. L’espace numérique est donc à date un océan bleu où chacun cherche à pousser son avantage.
EurAsia Prospective 